Microsoft topman Brad Smith is door de Commissie op het matje geroepen vanwege een cyberaanval in 2023.

Chinese hackers wisten toen via Microsoft Exchange Online in te breken op e-mailaccounts van verschillende bedrijven, West-Europese overheden en de Amerikaanse overheid. In april stelde de VS in een rapport dat Microsoft die aanval had kunnen voorkomen. 

In een schriftelijke getuigenis voorafgaand aan de hoorzitting liet Smith al weten dat Microsoft de verantwoordelijkheid voor de door de VS benoemde problemen 'zonder enige twijfel of aarzeling' aanvaardt. Tijdens de hoorzitting erkende Smith nogmaals dat het bedrijf bij dit incident tekort is geschoten.

Eerder deze week verscheen meer kritiek op het handelen van Microsoft op het gebied van security. ProPublica publiceerde donderdag een getuigenis van voormalig Microsoft-werknemer, die tot 2020 in het beveiligingsteam van het bedrijf werkte. Hij stelt dat Microsoft een bedenkelijke rol speelde bij de SolarWinds-aanval in 2020.

De voormalig werknemer ontdekte naar eigen zeggen in 2016 een potentieel ernstige kwetsbaarheid in Azure AD FS, waarmee ingelogd kan worden in de Azure cloud. Volgens hem konden aanvallers de kwetsbaarheid misbruiken om via een on-premises server in te breken in de cloudomgeving van klanten.

Microsoft was destijds echter bang dat het erkennen van die kwetsbaarheid de reputatie van de destijds vrij nieuwe cloudafdeling zou schaden, waarop het in de doofpot werd gestoken, aldus de voormalig medewerker. Jarenlang probeerde hij Microsoft zo ver te krijgen om de fout op te lossen, maar daar werd niets mee gedaan.

In augustus 2020 stapte hij over naar CrowdStrike, slechts enkele maanden voordat de SolarWinds-aanval plaatsvond.

Bij die aanval werd de fout die de man in 2016 al had gevonden misbruikt, aldus ProPublica. Smith moest zich in 2021 al verantwoorden voor de SolarWinds-aanval, maar hij zei toen dat er geen kwetsbaarheid in Microsoft-producten of -diensten misbruikt was voor die aanval.

Alles bij de bron; Tweakers